Внимание! Обнаружена масштабная уязвимость процессоров

(adsbygoogle = window.adsbygoogle || []).push({}); Проблемы безопасности были обнаружены независимыми группами исследователей еще полгода назад, однако детали уязвимости были обнародованы только 4 января 2018 года.

Стало известно, что все процессоры, выпущенные компанией Intel за последнее десятилетие, имеют критическую уязвимость. Позднее было установлено, что уязвимость имеют процессоры AMD, а так же архитектуры, на которых работают не только Windows, Linux и macOS, но смартфоны в том числе. Обнаруженные проблемы безопаности особенно масштабны, поскольку ошибка содержится не в программном обеспечении, а в самих процессорах.

Meltdown позволяет разрушить изоляцию между пользовательскими приложениями и операционной системой, что позволяет программе-злоумышленнику получить несанкционированный доступ к памяти ядра и прочитать закрытые данные. Ей подвержены процессоры Intel (выпускаемые с 1995 года) и ARM64 (Cortex-A15/A57/A72/A75)

Spectre («Призрак») позволяет вредоносному считывать данные, к которым он не должен быть доступ. Этой атаке подвержены процессоры Intel, AMD (только при включенном eBPF в ядре) и ARM64 (Cortex-R7/R8, Cortex-A8/A9/A15/A17/A57/A72/A73/A75).

Уязвимость также позволяет получить доступ к чужой памяти в системах паравиртуализации и контейнерной изоляции (в том числе Docker, LXC, OpenVZ). Например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин.

Обновление для защиты от Meltdown уже выпущено для RHEL, CentOS и Fedora, Ubuntu (кроме некоторых дистрибутивов) и ожидается для Debian.

Так же, обратите внимание, что одним из инструментов совершения атаки может стать web-браузер (к примеру, через выполнение JavaScript-кода). Разработчики Google Chrome работают над интеграцией защиты прямо в браузер. Исправление будет доступно в релизе Chrome, назначенном на 23 января. Компания Mozilla внесла в Firеfox 57 временные исправления, затрудняющие атаку, ограничив точность работы таймера (performance.now) до 20µs и отключив SharedArrayBuffer.

Несколько дней назад пользователи начали сообщать, что на системах с некоторыми чипами AMD операционная система перестаёт загружаться после получения обновления KB4056892 для Windows. Сегодня Microsoft подтвердила, что проблема существует и приостановила выдачу обновлений для компьютеров с такими процессорами.

После применения обновления загрузка доходит только до логотипа Windows и не продолжается дальше. Примечательно, что контрольная точка не создаётся, поэтому восстановить систему к рабочему состоянию, которое было до установки обновления, не получится. Некоторые пользователи говорят, что переустановка Windows не решает вопрос.

Сообщается, что Microsoft совместно с AMD уже работают над решением проблемы. Точные сроки возобновления распространения обновлений неизвестны.

Пока что мы рекомендуем всем, кто пользуется Windows на машинах с AMD, временно отключить автоматическое применение обновлений. Если вы уже обновились и ОС не загружается, Microsoft рекомендует обратиться к этим материалам:

Troubleshoot blue screen errors in Windows 10.
Resolving Blue Screen errors in Windows 8.1.
Resolving stop (blue screen) errors in Windows 7.
Напомним, что ранее в начале этого года в процессорах Intel были найдены критические уязвимости, позволяющие любому приложению получать доступ к памяти ядра (их назвали Meltdown и Spectre). Далее выяснилось, что чипы от AMD также содержат ошибки в безопасности, однако в меньшей степени (только Spectre).

Взгляд изнутри «хранилища биткоинов» под горами Швейцарии

(adsbygoogle = window.adsbygoogle || []).push({}); Биткоинам, как и любой другой валюте требуется место для хранения. Причем очень надежное, иначе, есть вероятность испарения их от «темных» сил интернета. Наличные купюры мы бережем в физическом кошельке, а как хранится криптовалюта, которую и потрогать-то нельзя?

На этот вопрос нам ответил британский журналист Джун Ян Вон посетивший объект неподалеку от Фирвальдштетского озера. Владелец криптовалютного кошелька компания Харо. Она оберегает частные криптографические ключи, дающие клиентам доступ к биткоинам. Сколько в бункере данных, в переводе на денежную единицу, журналисту говорить не стали, но дали понять, что очень много. Жизнь: Блог им. babihs1: Взгляд изнутри «хранилища биткоинов» под горами Швейцарии

Само убежище было основан в 1947 году, оно предназначалось как штаб в военное время. Это место определил Карлос Риенци, начальник безопасности Харо. По его мнению, это убежище идеальное место, чтобы сберечь биткоины от натисков со стороны террористов или хакеров.

Для проникновения в объект, нужно сделать снимок лица, снять отпечатки пальцев и пройти через досмотровый металлоискатель. Как рассказывает журналист, сначала он ждал в досмотровой кабине, пока охрана открыла бункер изнутри. Далее, он прошел через стальные заграждения и пересек стометровый туннель, вытесанный в гранитной скале. В конце коридора гостя ждали две красные двери, способные устоять ядерному взрыву. Посетителю разрешили открыть их, но он не смог.Жизнь: Блог им. babihs1: Взгляд изнутри «хранилища биткоинов» под горами Швейцарии

В одном из отсеков имеется «холодна камера», попасть в нее не могут даже операторы. «Холодная камера» не имеет соединения с интернетом. Она обложена сталью, формирующей клетку Фарадея: это барьер, уберегающий помещение от различных электромагнитных атак, способных уничтожить имеющиеся внутри данные.Жизнь: Взгляд изнутри «хранилища биткоинов» под горами Швейцарии

Со слов главы безопасности они никогда не расслабляются. Охрана Харо всегда начеку и продумывает наперед пути противника, чтобы усилить меры предосторожности.
Читать дальше

Космические лучи как причина зависания телефона

(adsbygoogle = window.adsbygoogle || []).push({}); Когда ваш мобильный ловит глюки и виснет, не стоит сразу грешить на производителей. Исследователи из Университета Вандербильта, выяснили, что причиной этому могут служить космические лучи.

Все знают, что в космосе большое количество всевозможной материи, а также различных полей, которые образуются не только вследствие природных процессов. Все виды излучений, независимо от происхождения, пагубно отражаются на производительности всех электронных приборов.

В космосе при любой звездной активности появляется особый вид материи – космические лучи, которые в своем составе имеют электромагнитное излучение. Когда эти лучи приближаются к планете, происходит определенное воздействие на электронику.Наука: Космические лучи как причина зависания телефона

Исследователями доказано, что кроме электромагнитного излучения, гаджетам угрожают различные высокоактивные частицы, иначе как космическая радиация. Это происходит, когда космические лучи соприкасаются с плотными слоями атмосферы и делятся на частицы, содержащие в себе и электрический заряд.

Возможно, многие осведомлены, как работают все ячейки памяти, хранящее данные о деятельности электроники. В отдельных ячейках меняется электрический заряд. То есть положение «0» значит, заряда нет, а «1» — он присутствует. Невероятно, но такая простая система должна иметь помехозащищенность. Только из наблюдений видно, что космические частицы могут менять положение ячеек памяти, и способны отразиться на деятельность электрических цепей. А это уже значительная угроза.Наука: Космические лучи как причина зависания телефона

Были случаи, когда из-за космических лучей происходили сбои. Впервые это произошло в Бельгии в 2003 году, с прибором для голосования. Тогда в данных было выявлено где-то 4000 неправильных голосов. Второй раз явление было замечено в 2008 году. Из-за активности космических лучей случился сбой в работе автопилота воздушного судна AirBus A330. Тогда пострадало 119 граждан.

По мнению специалистов, влияние космоса постепенно растет и в будущем это приведет к плачевным последствиям. Может быть, это связано и с самим ростом, а также многофункциональностью электроники. Поправить положение можно, если мобильным устройствам создать высокую помехоустойчивость.
Читать дальше

5 способов уберечь данные

(adsbygoogle = window.adsbygoogle || []).push({}); Утечки в наше время – бич цивилизации. Персональные данные получают как с одобрения клиента, так и без ведома. В обоих случаях есть определенный риск, что наряду с безобидными данными в руки к злоумышленникам попадет частная или деловая информация.

Как бороться со шпионами? А поможет нам в этом шифрование. При помощи криптографии вы создадите барьер для злоумышленника, а при перехвате данных он просто в них не разберется. Приведем 5 интересных и проверенных способов.

1. Шифруем активность веб-браузера. При зашифрованном соединении мошенник сможет видеть на каких сайтах вы были, но перехватить и разобрать данные у него не выйдет. Чтобы зашифровать соединение, которое идет по стандартному протоколу HTTP нужно, присоединить в адресной строке к «http» символ «s». У вас должно получиться «https://». Так, вы поставите шифрование трафика, иначе как слой безопасности SSL/TLS. Чтобы так не заморачиваться над каждым сайтом легче установить в браузере плагин HTTPS Everywhere, который будет сам активировать шифрование при каждом переходе.Хакер: 5 способов уберечь данные
2. Скрывайте мгновенные сообщения. Пользуйтесь популярными мессенджерами уже умеющими делать это: WhatsApp, Signal Private, Telegram, Google Allo, Gliph и т. д. Хакер, перехватывая переписку, видит лишь набор символов. Но тут ваши сообщения могут читать разработчики приложения, они же при первом требовании сольют ее правоохранительным органам. Так, оптимальным вариантом выступает пользование свободным мессенджером (open source) с плагином «на лету» (иначе как OTR). Неплохой и Pidgin. Минус – вы никак не застрахованы от атак посредника.
3. Шифруем электронную почту. Все сообщения, прежде чем дойти до адресата, проходят через третьи руки. Чтобы оградить переписку от соглядатаев, можно прибегнуть к установке плагина Mailvelope или воспользоваться услугами OpenPGP, а также его аналогом GPG. Суть манипуляции такова, что создается ключ, закрывающий содержание письма. Для начала беседы с адресатом нужно предварительно обменяться ключами.
4. Защищаем «облачные хранилища». Пользователям Google Drive, Dropbox, OneDrive, iCloud стоит также позаботиться о сохранности данных. Ведь всегда есть риски, что на самом сервере появится уязвимость или кто-то взломает пароль. Поэтому до отправления файлов в «облако» их следует зашифровать. Сделать это легко при помощи компьютерной утилиты Boxcryptor, которая создает папку, где документы автоматически шифруются и переносятся на «облако». Также можно воспользоваться программой TrueCrypt, но она менее удобна.Хакер: 5 способов уберечь данные
5. Ставим защиту на съёмные накопители и телефоны. Эти устройства всегда подвержены риску утери или кражи. Сюда же отнесем и шифрование жесткого диска на рабочем столе, хоть вы не можете его потерять. Тут помогут программы BitLocker (встроено в MS Windows), FileVault (встроено в OS X), DiskCryptor, 7-Zip. Эти приложения зашифровывают сразу весь диск, а не определенные папки. Работа программ совсем невидна глазу, так как они работают «прозрачно». Но если вы потеряете флешку, то сторонним лицам ее прочесть не удастся.

А чтобы обезопасить данные на смартфоне нужно зашифровать операционную систему. Пройдите в «Настройки – Безопасность – Пароль». Минус в том, что процессору придется теперь тратить время на постоянное шифрование и дешифрование данных, а это может отразиться на производительности устройства.
Читать дальше

Использовать повторно пластиковую бутылку для воды опасно!

(adsbygoogle = window.adsbygoogle || []).push({}); Бутылочка прохладной воды в летний зной самое то. Но постоянно тратиться хочет не каждый, поэтому у многих приобретенная однажды емкость эксплуатируется несколько раз. Причем предварительная чистка бутылки перед применением никак не обезопасит от хронической интоксикации.

Дело в том, что пластиковые бутылки разработаны для одноразового пользования. На материале образуются микротрещины, в которых селятся и активно размножаются бактерии. Включая крайне опасные норовирусы. Бутылку трудно очистить изнутри, поэтому мой не мой, а паразиты никуда не денутся. Употреблять жидкость из многоразовой бутылки равносильно облизыванию игрушки питомца или унитаза. Идеальную среду для вирусов мы делаем сами, беря тару немытыми руками или держа в ней воду комнатной температуры.

Исследователи из Канады провели эксперимент. У 76 школьников попросили бутылки, которые они повседневно носили в школу. Были рассмотрены недавно открытые тары и те, что использовались по несколько месяцев. Везде, абсолютно везде обнаружили содержание вредоносной фауны выше нормы. Как минимум это могло обернуться пищевым отравлением, диареей и поносом.

По результатам исследования было выявлено, что большинство вирусов обитает на горлышках бутылок, которые трудно тщательно очистить. Даже если его продезинфицировать, паразиты перенесутся на него через колпачок-слайдер. Обезопаситься можно, если пить жидкость через трубочку.

А вот сократить частично микроорганизмы в бутылке поможет регулярное мытье мыльным раствором, уксусом, антибактериальным средством и горячей водой. Но даже если микробы будут нейтрализованы, сам пластик в результате воздействия выделяет канцерогенные примеси. Поэтому во блага здоровья легче отказаться от многоразовых емкостей.

Пластик и содержащаяся в нем жидкость нейтральна до момента вскрытия бутылки, а при соприкосновении с воздухом свойства меняются. Производители на дне небезопасных бутылок ставят треугольники с цифрами, обозначающими вид пластика, из которого произведена тара. Пометка «1» (PET или PETE) не приносит вред лишь при одноразовом пользовании. Под воздействием кислорода, горячей воды и солнечных лучей такой пластик выделяет токсичные элементы.

Крайне опасны бутылки с метками «3» и «7» (PVC и PC), из этого пластика выделяется токсичный хлор-винил, способный провоцировать опасные заболевания. Относительно безопасны для повторного пользования только тары из полиэтилена, они отмечены цифрами («2» и «4») и бутылки из полипропилена (с цифрой «5» и надписью РР). Но их следует постоянно дезинфицировать и заливать только холодной водой.

Также распознать вредоносную емкость можно по наплыву на донышке. Он бывает в виде линии или копья в двух концах. А если надавить на пластик ногтем, то на вредной таре появится белесый шрам, а на хорошей таре следа не останется.
Читать дальше

Viber позволяющую прослушивать разговоры.

(adsbygoogle = window.adsbygoogle || []).push({}); Пользователь ресурса «Хабрахабр» с ником Tambovchanin обнаружил в популярном мессенджере Viber опасную уязвимость, которая позволяет прослушивать чужие разговоры. Использование «дыры» возможно лишь когда два человека общаются через Viber голосом.

Исходные данные
Два абонента разговаривают между собой через Viber, назовем их А и Б. Во время разговора, абоненту А поступает вызов, но не через Viber, а через мобильную сеть. Абонент А отвечает на вызов, тем самым абонент Б оказывается на удержании.

Как подслушать разговор абонента A?
Абонент Б находясь на удержании, наживает на кнопку «Удержание» дважды, тем самым поставив и сняв режим удержания со своей стороны, данная опция доступна при разговоре по мобильному телефону или с планшета, в стационарном клиенте я такой кнопки не нашел.

Проделав данные действия абонент Б слышит разговор абонента А, правда без возможности участвовать в нем. Абонент А никак не понимает, что его в этот момент уже «подслушивают» и когда заканчивает разговор по мобильной сети — возвращается в Viber для продолжения диалога с абонентом Б.

Tambovchanin обнаружил проблему в октябре прошлого года и уведомил о ней службу поддержки Viber. Похоже, разработчики сначала проигнорировали сообщение, поэтому пользователь решил предать огласке подробности о проблеме.

До недавнего времени баг затрагивал Viber для Android, а проверить его наличие в версии для iPhone у исследователя не было возможности. В пришедшем обновлении 11 января уязвимость была исправлена, однако она может оставаться актуальной для пользователей, еще не получивших патч.
Читать дальше

Гугл незаметно подслушивает вас через микрофон.

(adsbygoogle = window.adsbygoogle || []).push({});
Компания Google не скрывает того факта, что подслушивает своих пользователей, но она это, мягко говоря, и не афиширует.
Гугл не только записывает разговоры, но и хранит их на собственных серверах. Причём робот «подслушивает» вас не только, когда смартфон включен, но и когда он просто лежит себе рядом с вами, например, на рабочем столе.

Зачем это нужно Google? В компании объясняют подслушивание необходимостью сбора и анализа информации, которая впоследствии поможет алгоритму подобрать для вас рекламу соответственно интересам. Звучит не так уж и страшно, но!

Во-первых, личная информация может попасть в чужие руки, если кто-то взломает ваш аккаунт;

Во-вторых, случись у вас какой-либо конфликт или просто недопонимание с властями, ваши разговоры компания обязана будет передать в соответствующие органы;

В-третьих, откровенно говоря, «подогнанная» под интересы пользователей реклама часто совершенно не попадает под эти самые интересы и только зря раздражает пользователя. В этом случае сбор информации становится просто бессмысленным.

Впрочем, к чести компании, Гугл не скрывает факт сбора личных данных, поэтому каждый может авторизоваться в своём аккаунте и почистить собранную там информацию.

Здесь хранятся все данные с микрофона вашего телефона. Если тут пока ничего нет, значит, вы ещё не пользовались голосовым помощником, т. е. никогда не говорили: «ОК, Google».

А вот полное досье, которое на вас собрал Google, основываясь на том, что вы делаете в интернете.

Среди прочего, тут есть информация, где и когда вы были (точнее, ваш телефон); все, что вы искали в интернете; все странички, которые вы загружали. К счастью, удобная навигация позволяет быстро и без следа всё удалить.
Читать дальше

Зачем нужен SSL-сертификат сайту

(adsbygoogle = window.adsbygoogle || []).push({});
Одна из важных тем в последнее время это — Безопасность информации в Интернете, а именно SSL.
Нас пугают что Google начнет помечать сайты без HTTPS как «небезопасные». Позиции в поисковиках будут ниже. Скажу вам ЭТО ПРАВДА)
К слову, сам Google в своем блоге говорит о том, что с 1 января 2017 в своем браузере Google Chrome 56 релиза начнет отмечать сайты, которые передают пароли и\или данные кредитных карт, как «небезопасные». Это часть общего плана Google выделить сайты HTTP, как небезопасные.

Интернет: Отображение сайтов HTTP сейчас и после 1 января 2017

Что такое SSL-сертификат и где его взять? Чем HTTPS лучше HTTP? Данная статья для людей которые не не обладают специальными техническими знаниями.

Протокол SSL
Протокол SSL (от англ. Secure Sockets Layer – уровень защищенных сокетов) используется миллионами сайтов для защиты данных в Интернете. Он гарантирует безопасное соединение между браузером пользователя и сервером. При использовании SSL-протокола информация передается в закодированном виде по HTTPS и расшифровать ее можно только с помощью специального ключа в отличие от привычного протокола HTTP. Для работы SSL-протокола требуется, чтобы на сервере был установлен SSL-сертификат.
SSL-сертификат
SSL-сертификат – это своего рода уникальная цифровая подпись вашего сайта. Такой сертификат нужен, в первую очередь, банкам, платежным системам и другим организациям, работающим с персональными данными, – для защиты транзакций и предотвращения несанкционированного доступа к информации.


Так, если вы являетесь организацией и хотите использовать наш плагин для сбора пожертвований «Онлайн-Лейку», то для подключения платежной системы Яндекс.Деньги необходимо использование SSL-сертификата.

SSL-сертификат содержит следующую информацию:
доменное имя, на которое оформлен SSL-сертификат;
юридическое лицо, которое владеет сертификатом;
физическое местонахождение владельца сертификата (город, страна);
срок действия сертификата;
реквизиты компании-поставщика SSL-сертификатa.

SSL-cертификат подтверждает, что домен принадлежит реальной компании и что его владелец вправе пользоваться секретным ключом на законных основаниях.
Разница между HTTP и HTTPS
HTTPS (HyperText Transfer Protocol Secure) – это расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS. По умолчанию HTTPS использует 443 TCP-порт (для незащищенного HTTP – 80).

Чтобы подготовить веб-сервер для обработки HTTPS-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера. Сертификат состоит из двух частей (двух ключей) – public и private. Public-часть сертификата используется для шифрования трафика от клиента к серверу в защищенном соединении; private-часть – для расшифровывания полученного от клиента зашифрованного трафика на сервере.

После того как пара ключей приватный/публичный сгенерированы, на основе публичного ключа формируется запрос на SSL-сертификат в Центр сертификации.

Существует возможность создать такой сертификат, не обращаясь в Центр сертификации. Подписываются такие сертификаты этим же сертификатом и называются самоподписанными (self-signed).

Разновидности SSL-сертификатов
Существует несколько типов SSL-сертификатов:

SSL-сертификаты с проверкой домена (Domain Validation) – это сертификаты начального уровня, являются самыми распространенными в мире, а скорость выдачи таких сертификатов варьируется от 2 до 10 минут, зависит от бренда. Чтобы получить такой сертификат, не требуется специальных документов. Такие сертификаты подойдут для небольших сайтов и маленьких проектов, когда нет необходимости в большом доверии со стороны клиентов и посетителей сайта.
Нужно подтвердить владение доменом:
проверка через электронную почту (DCV Email) – центр сертификации высылает верификационное письмо, в котором будет ссылка для подтверждения владением домена. Выслать такое письмо могут либо на почту, указанную во Whois вашего домена, либо на один из золотой пятерки: admin@, administrator@, hostmaster@, postmaster@,webmaster@ вашего сайта; проверка при помощи DNS-записи (DNS CNAME) – способ для тех, у кого настроен мейл-сервер, а почта во Whois закрыта приватной регистрацией. Необходимо создать особую запись в вашем DNS, и центр сертификации его проверит. Метод полностью автоматический;
проверка при помощи хеш-файла (HTTP CSR Hash) – пользователю будет предоставлен специальный .txt файл, который необходимо загрузить на свой сервер, при этом центр сертификации убедится в его наличии и сертификат будет выдан. Метод полностью автоматический.

SSL-сертификаты с проверкой компании (Business Validation) – такие сертификаты актуальны для тех, кто думает о доверии к своим продуктам, компании и сервисам, так как центр сертификации проводит более тщательную проверку. Необходимо выслать документы компании, пройти процесс «отзвона» на корпоративный телефон. SSL-сертификаты с расширенной проверкой (Extended validation) – только EV сертификаты обеспечат сайт зеленой адресной строкой в браузере. Чаще всего такие сертификаты можно встретить у банков, онлайн-систем с большим количеством посетителей. SSL-сертификаты c поддержкой субдоменов (Wildcard) – это очень удобный сертификат, когда речь идет о защите большого количества субдоменов в рамках одного домена. Он может защитить любое количество субдоменов на неограниченном количестве серверов. SAN SSL-сертификаты – единые сертификаты связи, которые способны защищать множество доменов, субдоменов, локальных доменов и серверов.

Данные сертификаты работают как с внешними, так и внутренними доменными именами. SGC SSL-сертификаты – устаревающие сертификаты, которые принудительно увеличивают уровень шифрования для старых браузеров с 40 бит до полноценных 256 бит. SSL-cертификаты для ПО (CodeSigning SSL) – такие сертификаты могут помочь, когда ваши пользователи получают предупреждения и ошибки при скачивании программного кода с ваших ресурсов. Это идеальный продукт для разработчиков программного обеспечения, он используется для защиты программных продуктов распространяемых в сети.

Где получить SSL-сертификат
Для получения сертификата необходимо обратиться в компании, которые выдают SSL-сертификаты.

Также можно получить бесплатный SSL для любого сайта от Cloudflare — возможно, именно такой вариант подойдет для вашего сайта.

P.S: Как по мне это очередной способ выманить у людей денег. От остальных комментов удержусь))) Ну я думаю вы поймете и согласитесь, если понравилась статья ставьте лайк, это лучшая благодарность.
Читать дальше